使用 SMS 作為一種雙重身份驗證的形式一直受到加密愛好者的歡迎。 畢竟,許多用戶已經在他們的手機上交易他們的加密貨幣或管理社交頁面,那麼在訪問敏感的金融內容時為什麼不簡單地使用 SMS 進行驗證呢?
不幸的是,騙子最近開始通過 SIM 交換或將一個人的 SIM 卡重新路由到黑客擁有的手機的過程來利用隱藏在這一安全層下的財富。 在全球許多司法管轄區,電信員工不會要求政府 ID、面部識別或社會安全號碼來處理簡單的移植請求。
結合對公開可用個人信息的快速搜索(對於 Web3 利益相關者來說很常見)和易於猜測的恢復問題,冒充者可以快速將帳戶的 SMS 2FA 移植到他們的手機上,並開始將其用於不法手段。 今年早些時候,許多加密 Youtuber 成為 SIM 交換攻擊的受害者,其中 黑客發布了詐騙視頻 在他們的頻道上顯示文字指示觀眾向黑客的錢包匯款。 XNUMX 月,Solana 不可替代令牌 (NFT) 項目 Duppies 的官方 Twitter 帳戶通過 SIM-Swap 遭到入侵,黑客在推特上發布了指向假隱形薄荷的鏈接。
“必須記住,SIM 交換攻擊依賴於身份欺詐和社會工程。 如果一個不良行為者可以欺騙電信公司的員工,讓他們認為他們是物理 SIM 卡所附號碼的合法所有者,那麼他們也可以為 eSIM 這樣做。
資料來源:https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use